Cyber-Sicherheit in Europa

Cybersicherheit, also der Schutz vor Angriffen auf Informationssysteme, ist eine von fünf Prioritäten der EU-Strategie zur Inneren Sicherheit. Hier passiert momentan einiges in Brüssel: Der Aktionsplan von Innenkommissarin Cecilia Malmström sieht unter anderem den Aufbau eines EU-Cybercrime-Zentrums vor. Derzeit verhandeln wir auch auch über die Erweiterung des Mandates der EU-Netzwerk- und Informationssicherheitsagentur (ENISA). Seit Ende 2010 besteht eine „high-level EU-US Working Group on cyber security and cybercrime“. Auch die NATO und andere Organisationen versuchen sich in diesem Feld zu positionieren. Im September 2010 hat Kommissarin Malmström einen Entwurf für eine Richtlinie zur strafrechtlichen Bekämpfung von Angriffen auf Informationssysteme vorgelegt. Neu sind in dem Vorschlag höhere Strafmaße, das Verbot des Besitzes von bestimmten „Vorrichtungen“ (sogenannte „Hacker-Hardware“) sowie das unbefugte Abhören elektronischer Kommunikation. Das Betreiben von Botnetzen sowie die Durchführung von „Cyberangriffen“ unter falscher (gestohlener) Identität sollen als erschwerende Umstände gelten, minderschwere Fälle müssen dagegen nicht kriminalisiert werden. Weiterhin sollen ständig verfügbare Kontaktpunkte in den Mitgliedsstaaten aufgebaut werden.

Der EU-Ministerrat hat sich am 10. Juni 2011 auf eine gemeinsame Position verständigt. Danach wird das Eindringen in IT-Systeme erst dann strafbar, wenn eine Zugangssperre überwunden werden muss. Das Mitbenutzen offener WLANs bleibt damit z.B. straffrei. Die Strafmaße sollen nach Ansicht des Rates nicht so weit angehoben werden wie im Kommissionsvorschlag. Dagegen sollen Angriffe auf „kritische Infrastrukturen“ als erschwerender Umstand gelten. In den ersten Aussprachen im Innenausschuss den Europäischen Parlaments äußerten sich alle Fraktionen auf unsere Initiative hin sehr skeptisch darüber, ob eine Ausweitung des Straftatenkataloges sowie von höheren Strafen überhaupt irgendeinen Eindruck auf real existierende Täter machen wird. Wir teilen die Kritik der Mitgliedsstaaten an höheren Strafen und an der völlig unklaren Kriminalisierung von „Vorrichtungen“. Die Richtlinie stellt darüber hinaus bereits die „Anstiftung“ zu Cybercriminalität unter Strafe, obwohl dies in den Mitgliedsstaaten völlig unterschiedlich definiert ist. Solche Vorfeld-Kriminalisierungen sehen wir generell kritisch, weil sie die Meinungsfreiheit beschränken können. Das Parlament tendiert daher statt zu Repression stärker zu Prävention (Angriffsverhinderung, sicherere IT-Systeme) und Präparation (schnelles Wiederherstellen der Funktionsfähigkeit). Leider kursieren dabei auch wenig hilfreiche Ideen wie der „Internet Kill Switch“ oder eine staatliche Pflicht, einen aktuellen Virenscanner zu benutzen. Im September wird dazu eine Anhörung im Innenausschuss stattfinden.

Richtlinienentwurf „Angriffe auf Informationssysteme“, 30.9.2010
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2010:0517:FIN:de:PDF

Standpunkt des Ministerrates, 10.6.2011:
http://register.consilium.europa.eu/pdf/en/11/st11/st11566.en11.pdf

Lesenswerter Kommentar zum Themenkomplex Cyber-Sicherheit von Hadmut Danisch:
http://www.danisch.de/blog/2011/06/16/warum-das-neue-cyber-abwehrzentrum-der-bundesregierung-so-nicht-funktioniert/